Version: 1.1
Für Fragen, Kritik, Anmerkungen, Anfragen zu Erweiterungen und Co., meldet euch gerne hier bei uns: currydigital@riseup.net oder @currydigital auf Wire
First off: Absolute Sicherheit und Anonymität gibt es nicht. Vor allem nicht im Netz. Denn es gibt eine Vielzahl von Interessen, die wollen, dass wir es nicht sind. Wir wollen diese aufgezwungenen Grenzen auflösen und lernen, wie wir uns selbst mit kleinen Tools gegen Überwachung & Angriffe auf uns, sei es von Staat oder Unternehmen, verteidigen können.
Es gibt bereits unzählige und nützliche Linksammlungen, Tipps & Tricks. Wir sammeln hier einfach mal jene, die wir kennen und die für unsere spezifische Situation von Bedeutung waren/sind. Welche für euch und eure "Eskalationsstufen" Sinn machen, müsst ihr letztendlich natürlich selbst entscheiden, aber vielleicht findet ihr hier ein paar nützliche Hinweise.
Unser Tipp: Am besten gleich anfangen! Veranstaltet Cryptopartys oder nehmt an ihnen teil, tauscht euch aus, trefft euch mit Genoss*innen, Freund*innen und den Leuten aus der Nachbarschaft, um gemeinsam Sorgen zu diskutieren, Strategien zu entwickeln und das Wissen zur digitalen Selbstverteidigung zu streuen.
Wir beobachten den staatlichen Ausbau von Überwachungsmaßnahmen, das Entstehen neuer perfider Kontrollmechanismen und gleichzeitig die Bereitschaft von Menschen dabei fleißig mitzuhelfen [1]. Wir wollen Teil einer kritischen Auseinandersetzung mit diesen Technologien sein und mit der klassischen Sicherheitslogik brechen. Wir vertrauen weder Staat, noch irgendwelchen Absichtserklärungen oder internationalen Richtlinien.
Diese Broschüre ist Teil eines Sicherheitskultur-Konzepts, dass ein Set von Prinzipien umfasst, die sowohl in physischen, als auch in allen technischen und digitalen Räumen gelten. Dazu ist diese Broschüre ein Beitrag zur individuellen Datensouveränität.
Einige Vorschläge wurden bereits zur Diskussion gestellt und es gibt einiges an Lektüre, im gut sortierten Infoladen und im Internet [2]. Wir wollten zunächst eine zugängliche Handreichung für unsere Gruppe schreiben, die dann schnell immer größer und umfassender geworden ist. Vieles hierin muss trotzdem auf der Strecke und unausgeführt bleiben.
Es gäbe noch reichlich Kapitel zu füllen zu nützlicher Hardware, Bastelanleitungen und Trends des Überwachungs-apparats.
Diese Broschüre ist ständig am Werden. Wir versprechen, an weiteren Versionen zu arbeiten, möchten aber dazu motivieren Initiative zu ergreifen, zu kritisieren, rauszustreichen, zu erneuern und zu erweitern. Verteilt diese Informationen, denn mit dem Wissen darum können wir gegen Paranoia und Lähmung kämpfen und der Bulle im Kopf verliert an Macht.
"Polizisten [sic!] speichern was sie müssen elektronisch ein. Alles kann ja irgendwann und irgendwie mal wichtig sein." Diese Songzeile hat nicht an Aktualität verloren. Stetig steigende Speicherkapazitäten führen dazu, dass jede Mausbewegung und jeder Tastaturanschlag konserviert werden können. Das nutzen nicht nur offizielle staatliche Stellen. Denn eine Unmenge dieser Spuren geben wir ganz freiwillig im Alltag an z.B. Meta, Alphabet und Amazon her.
In den ersten Kapiteln soll es daher um ein paar Kniffe gehen, die dabei helfen, wieder etwas Kontrolle über die eigenen Daten zu bekommen. Diese Methoden machen darüber hinaus euer "Surferlebnis" viel angenehmer. Zuerst kümmern wir uns um die Browserwahl, dann um die Suchmaschine.
Zu Beginn könnt ihr hier mal einen kleinen Test machen, wie 'unsichtbar' ihr, bzw. euer Browser, bereits im Netz unterwegs seid. Vielleicht ganz interessant zum Schauen wie's vorher und wie's nachher aussieht.
Über euren Browser gelangt ihr auf Websites und habt den meisten Kontakt mit anderen digitalen Kontaktpunkten. Websites speichern Cookies [3] und haben Tracker [4] eingebaut. Diese dienen dazu, Daten zu sammeln, um ein eindeutiges Bild von euch anzulegen. Meist zu (aggressiven) Marketingzwecken (sog. Surveillance Capitalism [5]), aber oft auch zum (Weiter-)Verkauf eurer Daten. Zudem können Menschen, Regierungen und Unternehmen über euren Internetverkehr extrem viele Infos über euch herausfinden, z.B. darüber, welches Gerät ihr benutzt, wo ihr seid, euer Surfverhalten und auf welcher Plattform ihr sonst noch so aktiv seid.
Mit einem guten, auf Privatsphäre bedachten Browser könnt ihr schonmal einiges an Sicherheit und Anonymität herstellen. Es gibt für die bekannten Browser Chrome und Firefox einige Add-Ons (s. Unten), die eure Spuren verwischen sollen. Paradoxerweise gilt: Je mehr ihr an euren Einstellungen tüftelt und Privatsphäre-Tools installiert, desto einzigartiger wird euer Browser und damit euer sog. "Fingerprint". In der Masse der Internet-User stecht ihr quasi mit einem aufgerüsteten Browser hervor. Würden alle Acht auf ihre Einstellungen geben, wäre das wiederum ein kleineres Problem (alle sähen wieder gleich aus), aber da sind wir noch nicht. Die unter Add-Ons angeführten Erweiterungen machen im Großen und Ganzen auf jeden Fall Sinn.
Firefox ist weitverbreitet, wird beständig weiterentwickelt, ist bei weitem nicht perfekt, aber tatsächlich in der Browser Welt das geringste Übel. Firefox begegnet der Fingerprint-Thematik durch ein schlichtes und für alle gleiches Design. In den Einstellungen lassen sich (etwas versteckt) eine Vielzahl sicherheitsrelevanter Einstellungen finden. Für fortgeschrittene Benutzer*innen lassen sich über "about:config" in der Adresszeile weitere, sehr spezifische Stellschrauben ansteuern. Ein Kompendium findet sich im Kuketz-blog [6]. Eine umfangreiche Auseinandersetzung mit Firefox findet ihr auch dort [7].
Eine andere Alternative ist der Brave Browser, ein Projekt eines ehemaligen Firefox-Mitarbeiters. Mit der Installation habt ihr standardmäßig Tracker und Ads blockiert (auch YouTube-Werbung). Ihr könnt z.B. eingebettete Soziale-Medien-Felder auf Websites blocken, einstellen wie aggressiv geblockt wird, so weit, dass der Browser versucht überhaupt keine Infos an Websites weiterzugeben, was aber dazu führen kann, dass die Websites nicht funktionieren oder extrem langsam sind (was durchaus einer Taktik geschuldet sein kann). Zusätzlich könnt ihr einstellen, dass wenn eine Website eine .onion (Darknet [8]) Adresse hat, ihr direktüber das Tor-Netzwerk auf diese geleitet werdet. Mehr zu Tor gleich.
Wikipedia: Tor ist ein Netzwerk zur Anonymisierung von Verbindungsdaten. Es wird für TCP[9]-Verbindungen eingesetzt und kann beispielsweise im Internet für Browsing, Instant Messaging, IRC[10], SSH[11], E-Mail oder P2P[12] benutzt werden. Tor schützt seine Nutzer vor der Analyse des Datenverkehrs. Es basiert auf der Idee des Onion-Routings.[13]
Im Onion-Netz nutzt ihr (wortwörtlich) ein Zwiebelschalenprinzip: Ihr verbindet euch mit mehreren Servern, bevor ihr auf der Zielseite landet. In der Regel verläuft die Verbindung über drei Stellen. Durch die Anzahl der Knoten (also die weiteren Verbindungspunkte) ist unklar oder schwierig herauszufinden, woher die Anfrage eigentlich kommt. Bei sogenannten Onion-Adressen wird die Verbindung nochmal über zwei weitere Knoten geleitet.
Über den Tor-Browser (oder Brave) könnt ihr Websites ansteuern, die über herkömmliche Browser nicht direkt ansteuerbar sind [14], also sog. Hidden Services im Darkweb [15]. Dort gibt’s Drogen, Waffen, Fake-IDs, oder alle möglichen Foren, Informationen und elektronische Ressourcen. Das Alles erfordert ne Menge Reinarbeiten und zu sicher, „eh nicht getrackt zu werden“, solltet ihr nicht sein. Es gibt ultraviele Fake-Seiten und -Märkte und einen Haufen Leute, die damit Geld verdienen [16].
Wie auch immer, über das Tor Netzwerk könnt ihr auch "Clearnet [17]"-Seiten, also normale Websites, ansteuern und seid dabei wesentlich anonymer, als ihr es ohne TOR seid. Für alles, bei dem ihr euch nicht mit eindeutigen Login-Daten einloggt (und euch damit erkenntlich zeigt), macht es Sinn den TOR-Browser zu verwenden!
k.: ich nutze für Recherche, Online-Artikel lesen und Surfen immer den TOR-Browser. Falls mal eine Seite überhaupt nicht funktionieren sollte oder ich mich für ein Online-Meeting bei schlechter Verbindung einhängen muss, wechsle ich auf z.B. Firefox.
Es gibt gefühlt 1000 Add-Ons [18], die für Privatsphäre und Security Sachen gedacht sind. Nicht alle machen Sinn und mehr hilft auch nicht unbedingt mehr. Eine kleine Liste bekannter und sinnvoller Add-Ons:
Moment, was? Google hat böse Absichten und ist nicht vertrauenswürdig? Was dann?
Bei Qwant handelt es sich um eine Suchmaschine, die dem europäischen Datenschutzrecht unterliegt und keine personalisierten Suchergebnisse liefert. Verglichen mit Google sehen diese Anfragen anders aus, denn die Suchanfrage ist grundsätzlich für alle gleich. Seit neuestem bietet Qwant auch eine Kartenfunktion an (das Design orientiert sich dabei an Google Maps), diese basiert auf den bekannten OpenStreetMaps. Qwant ist eine sehr einfache Alternative für Einsteiger*innen.
Neueste Recherchen (netzpolitik.org, Dez. 2022) deckten auf, dass Qwant hochverschuldet ist und Geld des chinesischen Konzerns Huawei angenommen hat. Das ist keine gute Entwicklung und stimmt für die Zukunft skeptisch.
Startpage vermittelt im Prinzip die Suchanfragen an Google weiter und entfernt dabei eure persönlichen Daten. Startpage liefert so Google-Suchergebnisse, die nicht personalisiert sind. 2019 hat sich ein neuer dubioser Shareholder in das Unternehmen eingekauft [20]. Eine klare Empfehlung für Startpage auszusprechen ist seither schwierig.
Populär ist auch DuckDuckGo. Das Unternehmen schreibt sich zwar Privacy auf die Fahne, ist aber wie alle Unternehmen in den USA gegenüber den Feds (CIA, FBI und NSA) auskunftspflichtig und daher mindestens zweifelhaft in seinen Versprechen. Keine Empfehlung.
Die Suchmaschine Ecosia wirbt mit einem nachhaltigen und umweltbewussten Nutzungsprinzip und der Suchalgorithmus basiert auf Microsoft Bing bzw. Yahoo. Ecosia betont zwar die Wichtigkeit von Datenschutz, überzeugend ist sie in diesen Punkten aber nicht. Keine Empfehlung.
Ein andere vielversprechende Alternative ist Metager. Metager ist eine sog. Meta-Suchmaschine [21] und leitet die Anfrage an mehrere Suchmaschinen weiter, um sie euch dann gesammelt zu präsentieren. Betrieben wird sie von einem gemeinnützigen Verein.
Um einen Passwort-Manager kommt ihr nicht drum herum, und das sollte auch eines der ersten Dinge sein, die ihr installiert. Immer wieder werden Websites oder User gehackt und - teils sensible - Login-Daten veröffentlicht. Nutzt ihr für diverse Seiten dasselbe Passwort, dann bedeutet ein Leak eine Gefahr für viele eurer Accounts. Dabei reicht es jedoch nicht, nur unterschiedliche Passwörter zu verwenden, diese sollten auch stark sein. Es gibt z.B. eine Unmenge an Paypal-Accounts, die im Internet gekauft werden können, einfach, weil es super easy ist, die Passwörter mancher Accounts zu erraten. Sprich, ihr solltet ein Passwort niemals doppelt verwenden und immer ein langes, starkes Passwort anlegen.
Klingt nach 1000, komplizierten, random Zeichenfolgen, die sich eh niemensch merken kann? Das muss nicht unbedingt sein, aber euer Passwort-Manager packt auch das!
Wir wollen gar nicht so viel Zeit mit Passwörtern verlieren, trotzdem noch einmal zur Erinnerung besonders schlecht sind: einfache Zahlenreihenfolgen (1234, 0987654321, etc.), einzelne Wörter (ganz schlecht: passwort, name, etc.), Passwörter bei denen lediglich einzelne Buchstaben durch Zahlen/ Zeichen ausgetauscht werden (eine "3" für ein "E" oder ein "@" für ein "a" - easy guess) oder generell Passwörter die ≤ 8 Zeichen haben.
Gute Passwörter können sehr einfach über Passwort-Generatoren erstellt werden, meist kann dort eingestellt werden, ob das Passwort bspw. aus einer Passphrase bestehen soll, wie lang es sein soll und ob noch zusätzlich Zahlen/ Sonderzeichen eingebaut werden sollen. Die meisten Passwort-Manager (PM) haben eine solche Funktion bereits integriert (nach Installation des PM könnt ihr so ganz automatisch, z.B. 20-stellige, zufällige Ziffern als neues Passwort einspeichern). Gute Passwörter müssen allerdings nicht immer so aussehen, als hätte wer dabei wild auf die Tastatur gehauen.
Vielleicht das wichtigste Passwort, das ihr erstellen werdet und eines der wenigen, wenn nicht sogar das Einzige, das ihr euch merken müsst, ist das Passwort eures PM-Tresors. Dieses Passwort sollte sehr stark, gleichzeitig aber auch gut einprägsam sein (allerdings gebt ihr dieses Passwort meist mehrmals am Tag ein und daher ist es eh schnell drin).
Zu einem solchen Passwort könnt ihr wie folgt gelangen:
Teilt dieses Passwort nie! Verwendet es nirgendwo anders! Notiert es nicht dauerhaft auf einem Zettel oder auf eurem PC! Nur gut merken.
Gar nicht so leicht. Es gibt eine Menge. Eine Übersicht gängiger, kommerzieller Anwendungen mit einem kurzen Abriss über Vor- und Nachteile gibt es hier.
Wir verwenden gerade Bitwarden und KeePassXC. Beides funktioniert für uns auf und zwischen verschiedenen Plattformen gut. Grundsätzlich sollte ein PM quelloffen sein und aktiv weiterentwickelt werden. Wer eine einfache Cloud-Lösung sucht ist mit Bitwarden sicher ganz gut beraten.
Immer wieder werden jedoch Datenbanken gehackt und Passwörter (verschlüsselt) veröffentlicht (z.B. bei LastPass oder 1Password). Eine Nummer sicherer ist es daher mit Programmen wie KeePassXC die Passwörter lokal und verschlüsselt auf eurem PC zu speichern.
KeePassXC ist ein community, open-source Projekt mit hohem Sicherheits- und Funktionsumfang, das komplett offline arbeitet (es wird also kein externer Server zum Speichern deines Tresors benötigt). KeePass bedarf allerdings ein bisschen mehr technisches Know-How/Interesse und die Usability ist nicht immer so flüssig, wie bei den Anwendungen oben. Dafür bietet die Anwendung aber auch mehr Möglichkeiten für erweiterte Sicherheitsfeatures, wie zum Beispiel sogenannte Key Files oder Hardware Tokens (also USB-Sticks, die wie Schlüssel funktionieren) und ist in Tails enthalten (kommt weiter unten).
Hier gibt's auch bissl was zu tun. Immer wieder gibt's Berichte, dass von verschiedenen großen Mail-Providern Daten geleaked werden und Passwörter herausgefunden wurden. Ob eure Daten/ Passwörter sich bereits im Umlauf befinden, könnt ihr hier abchecken.
In 'Aktivistikreisen' benutzen viele Riseup (oder Systemli). Diese brauchen einen Einladungscode, um Zugriff auf den Service zu erhalten. Riseup und Systemli sind prinzipiell solide Optionen, sind aber nicht per se automatisch sicher. Es empfiehlt sich diese wie kommerzielle Anbieter zu behandeln.
Protonmail hat Server in der Schweiz und bietet Ende-zu-Ende Verschlüsselung zwischen Protonmail-Adressen an. Free-version gibt's allerdings nur als Web-App oder als mobile Version unter Android/ iOS. Ein ähnliches Konzept verfolgt Tutanota.
Andere kostenpflichtige (1€/Monat) Plattformen, wie mailbox.org oder posteo.de bieten umfangreiche Möglichkeiten, den eigenen E-Mail-Verkehr sicherer zu gestalten.
Eine Größere Liste mit weiteren Optionen und Infos gibt’s hier
Thunderbird ist ein Mail-Programm, das euch dabei helfen kann eure Mail-Accounts zu verwalten. Anders als die vorinstallierten Standardanwendungen (wie Apple Mail oder Outlook) ist Thunderbird Open Source [22] und kostenlos. Thunderbird bietet eine Reihe an Möglichkeiten Sicherheitsfeatures zu aktivieren oder zu integrieren, so z.B. die Verschlüsselung von Mails mittels PGP [23].
Wie komme ich zu Thunderbird?
Schritt 1: Thunderbird installieren!
Schritt 2: Accounts in Thunderbird hinzufügen.
Schritt 3: Sichere Verschlüsselung von Mails einrichten. Dazu:
PGP (Pretty Good Privacy) ist eine Methode Mails, Nachrichten und Dokumente zu verschlüsseln.
Ihr habt dazu einen "Privaten Schlüssel" (Private Key), der lokal auf dem PC gespeichert ist - diesen kennt nur ihr bzw. euer PC - , und einen "Öffentlichen Schlüssel" (Public Key), den ihr an Kontaktpersonen leitet. Der Public Key verschlüsselt, der Private Key entschlüsselt.
Geht in Thunderbird auf Einstellungen – Account Einstellungen – wählt die E-Mail Adresse aus, für die ein Schlüsselpaar erstellt werden soll. Dann Ende-zu-Ende Verschlüsselung – Schlüssel hinzufügen – Neuen OpenPGP Key erstellen (falls ihr noch keinen habt, ansonsten könnt ihr einen solchen auch in Thunderbird importieren) – Die Einstellungen könnt ihr so lassen und dann Key erstellen klicken.
Ihr habt nun einen Private und einen Public Key!
Wie schickt ihr den Public Key an eure Freund*innen und Genoss*innen?
4 Möglichkeiten!
Basics sind klar? Sehr cool!
Ganz einfach: Require Encryption heißt, dass ihr die Mail verschlüsselt. Digitally Sign this Message heißt, dass die empfangende Person sicher sein kann, dass die Absende-Adresse stimmt und Attach my Public Key bedeutet, dass die andere Person euren Key bekommt und ins Mailprogramm aufnehmen kann.
Wenn ihr die Public Key(s) der anderen Person in eurem OpenPGP Manager gespeichert habt, werden die verschlüsselten Mails automatisch entschlüsselt. Aber eben nur im Mailprogramm auf eurem Computer! Die Mails, die mit eurem Public Key verschlüsselt wurden, können nur mit eurem lokal gespeicherten Private Key entschlüsselt werden. Mails abfangen oder euren Account hacken macht das Lesen der Mails also unmöglich.
Alles nicht so 'romantisch' wie die RAF-Methode, aber durchaus sicherer. Genauerer Überblick hier
VPN steht für Virtual Private Network und ist ganz grob eine 'Umleitung', über die ihr euch mit Internetdiensten verbindet. Von eurem Rechner aus geht die Verbindung erst zum Server des VPN-Clients (Anbieter*in) und dann zur Zieladresse. Ihr macht quasi einen Hops. Mit einem VPN lassen sich sog. „Geo-Sperren“ umgehen (ihr kennt’s, wenn ihr die heißgeliebte schwedische Teen-Serie streamen wollt, die Serie in eurem Land aber nicht verfügbar ist) oder verhindern, dass über die IP-Adresse [26] nachvollziehbar ist, wo ich hinreise (Geo-Lokalisierung).
Außerdem ein wichtiges Feature: ich kann über den VPN eine verschlüsselte Verbindung aufbauen und mich bspw. in einem öffentlichen Netzwerk, dem ich nicht vertraue, vor Angriffen aus eben diesem Netzwerk schützen.
Anonym, wie es die Werbeversprechen vorgeben, sind wir damit allerdings nicht! Dazu wurden VPN-Dienste nämlich nicht entwickelt, sondern eben für das gerade genannte Herstellen einer verschlüsselten Verbindung in einem unsicheren Netz. Wie beim Browser erklärt gibt es unzählige andere Parameter, die euch im Netz identifizierbar machen.
Wenn wir einen VPN-Dienst nutzen wollen, weil wir z.B. in einem öffentlichen Café übers Wifi eingeloggt sind, eine Geo-Sperre umgehen wollen oder generell Sorgen haben, dass wir dem Netzwerk nicht vertrauen können, dann ist es sinnvoll einen VPN zu nutzen.[27]
Welchen sollen wir da nutzen? Gut ist es, wenn die Nutzung des VPN-Diensts keine Identifikations-Daten zur Registrierung erfordert. Clients, die das ermöglichen sind z.B. ProtonVPN, AzireVPN, IVPN und Mullvad. Weiterer Pluspunkt ist, dass dort viele unterschiedliche Bezahlungsmethoden zur Verfügung stehen. Es gibt hunderte weitere kommerzielle Anbieter, ein Überblick ist schwer. Einige Websites bieten regelmäßig Vergleiche.
Die Einschränkung bei allen ist: ich muss dem VPN-Dienst vertrauen. Und das fällt schwer. Egal was versprochen wird, ob mein gesamter Datenverkehr (denn der läuft ja über den Dienst) mitgeschnitten oder weitergeleitet wird kann ich nicht wissen. Zudem gelten unterschiedliche rechtliche Bedingungen, je nachdem in welchem Land die Server stehen (Stichwort: 14 Eyes Surveillance [28]). Einen (wirklich) umfangreichen Vergleich von verschiedenen VPN-Diensten findet ihr auf dieser Website: ThatOnePrivacySite.
Wer bereits einen RiseUp-Account besitzt kann auch den VPN-Dienst des Kollektivs verwenden: Riseup VPN.
Es gibt natürlich auch kostenlose VPN Services, die sind allerdings oft mindestens fragwürdig, teils mit begrenztem Traffic und keiner oder geringer Serverwahl. Ihr tut euch bei der Benutzung dieser Dienste keinen Gefallen.
Bei dem Thema VPN haben wir einen Begriff ausgelassen, der oft im gleichen Zusammenhang fällt: die Rede ist von Proxy’s. Die Erklärung, was das ist holen wir jetzt nach.
Wenn wir eine Verbindung zu einer Website aufrufen wollen, dann folgt das wie wir gelernt haben sehr grob dem Muster: Ich mit meinem Gerät (A) sage dem Website-Server (B): hey, zeig' mir ein lustiges Katzenvideo/ sende mir Daten! Es entsteht die Verbindung: A - B. Proxy's sind sogenannte Brücken (Bridges), d.h. A beauftragt ‚den Proxy' (P) die Daten von B für mich zu beschaffen. Es entsteht die Verbindung A - P - B.
Aber diesen Zwischenschritt machen VPNs doch auch!? Stimmt, der entscheidende Unterschied ist, dass VPN-Dienste im Gegensatz zu Proxy's den gesamten Datenverkehr umleiten. Proxy's leisten das nur für bestimmte Anwendungen oder Protokolle [30]. Während z.B. Signal über eine Bridge verbunden sein kann, arbeitet der Browser weiterhin direkt und ohne Bridge.
Wie hilft uns das weiter? Was können wir damit machen?
Die Proteste im Iran im September 2022 zeigen uns erneut: der Staat nutzt umfassende Zensur im Netz als strategisches Unterdrückungsinstrument und Mittel zur Aufstandsbekämpfung. Zugang zu lebenswichtigen Informationen, Kommunikation oder Dokumentation ist damit erheblich erschwert oder gar unmöglich. Wissen über die Möglichkeiten (staatliche) Zensurmaßnahmen zu umgehen ist daher (nicht nur in Zeiten des Aufstands) extrem wichtig.
Wie bereits in der VPN-Section erwähnt, kann es uns ein VPN-Dienste ermöglichen gesperrte Websiten zu erreichen oder sogenannte Geo-Sperren zu umgehen. Das ist insofern für mich sehr einfach, weil ich nicht für jede Anwendung einzeln einen Proxy konfigurieren muss (schließlich geht ja alles über das VPN). Kann ich aber aus irgendeinem Grund keinen VPN-Dienst nutzen, dann kann ich manuell Proxys/ Bridges einrichten.
Beispielhaft hier mal für den Browser die Snowflake-Funktion des Guardian-Projects (Tor) erklärt.[31] Zum Einsatz kommt hier wieder der bekannte Tor-Browser (bzw. die mobile Version). Über die browserinternen Einstellungen in Tor kann eine solche "Bridge" aktiviert werden, die fortan euren Browser-Datenverkehr (!) über die PCs von Freiwilligen in (noch) nicht zensierten Zonen schleust. Effekt: Wir erhalten Zugang zu den bei uns gesperrten Inhalten. [32]
Einstellungen - Verbindung - Bridges - Build-in-Bridges auswählen
- Snowflake auswählen
Auf der Startseite: Bridges verwenden - Snowflake oder obfs4 -
VPN Mode aktivieren
Einstellungen - Config Bridge - Use a Bridge - Snowflake
auswählen
Einstellungen - Bridge Konfiguration - Built-in snowflake oder
Built-in snowflake (AMP)
WhatsApp und Facebook-Messenger sind es nicht, da sind wir uns einig, aber was sind sichere Alternativen?
Telegram hat nach den WhatsApp Datenschutz-Neuerungen extremen Zulauf bekommen. Die dubiosen Verschlüsselungspraktiken und die per default deaktivierte Ende-zu-Ende-Verschlüsselung in privaten Chats (die muss extra aktiviert werden, Gruppennachrichten sind in Telegram derzeit immer unverschlüsselt) machen diesen Dienst zu keiner sicheren Alternative [33].
Da die meisten Leute in unserem Umfeld momentan Signal nutzen hier ein paar hilfreiche Tipps:
iOS (englisch)/ Android (deutsch):
Es macht Sinn unter
settings - notifications - notification content
bzw. Einstellungen - Benachrichtigungen - Anzeigen
die Option No Name or Content auszuwählen (zumindest vor Aktionen! M.E. macht es aber immer Sinn, schließlich ist es manchmal nicht mehr möglich die Einstellungen zu ändern, zum Beispiel dann, wenn die Polizei eure Wohnung stürmt). Push-Nachrichten erscheinen damit nur noch als neutrale Signal-Notifications ohne Hinweise auf Wer oder Was.
Unter
Privacy - Disappearing Messages
bzw. Datenschutz - Verschwindende Nachrichten
könnt ihr Voreinstellungen für neue Chats auswählen, die für jeden von euch eröffneten Chat gelten. Der Timer gibt an wie lange Nachrichten für alle Beteiligten sichtbar sein sollen.
Privacy - App Security bzw.Datenschutz - App-Sicherheit
ermöglicht euch die Screenvorschau während des Multitaskings zu unterbinden und eine Bildschirmsperre nach einer gewissen Abwesenheit (Signal fordert dann die Eingabe des Passwortes) einzurichten. Beides macht Sinn, wobei ihr das Timeout natürlich nach eigenem Ermessen einstellen könnt.
Unter
Privacy – Advanced bzw.Datenschutz - Erweitert
gibt es auch die Möglichkeit jeden Anruf über den Signal Server laufen zu lassen, sodass die eigene IP-Adresse nicht der angerufenen Person preisgeben wird (Kann die Anrufqualität schmälern, nicht unbedingt notwendig und relevant).
Wenn ihr mit euerer normalen Handynummer angemeldet seit macht es davon abgesehen natürlich Sinn euren Namen im Profil zu ändern (vllt. iwelche Kürzel) und das auch bei anderen Messenger-Diensten so zu handhaben.
Signal verfolgt nicht das Ziel den sichersten Messenger der Welt bereitzustellen, sondern will datenschutzfreundliche und verschlüsselte Kommunikation einer möglichst großen Anzahl an Personen zugänglich machen. Das funktioniert. Signal hat allerdings einen entscheidenden Nachteil: Ihr müsst eure Telefonnummer teilen um mit Menschen in Kontakt zu treten.
Daher wäre es eine Überlegung wert zusätzlich noch andere Messenger zu nutzen.
Alternativen sind z.B. DeltaChat oder Briar. Diese anderen Systeme sind zwar weniger verbreitet, haben aber meist eine starke Entwickler*innen-Community, relevante Sicherheitsfeatures und können daher u.U. sehr gute Alternativen darstellen. Vor allem für die (live) Kommunikation in Aktionen bietet Briar interessante Möglichkeiten, wie z.B. die offline Kommunikation via Bluetooth oder WLAN.
Die Kommunikation über einen (firmeneigenen) Server wie bei Signal oder Threema setzt immer auch die Bindung an dieses Unternehmen voraus. Andere Projekte wie bspw. der Client Element basieren hingegen auf Matrix. Der Vorteil könnte hier sein, dass das Matrix Netzwerk über dezentralisierte Server arbeitet, keine Registrierung voraussetzt und plattformübergreifende Kommunikation zulässt (theoretisch auch z.B. zu Signal). Nicht alle Clients, die verfügbar sind bieten hohe Sicherheitsstandards, Element arbeitet aber mit E2EE [34].
Eine gute Dokumentation von Matrix findet sich bei der TU Dresden, hier. Andere Stimmen betonen wiederum, das Matrix eklatante Sicherheitslücken hat und keine sichere Alternative im aktivistischen Kontext ist. Die föderale Struktur der Software-Architektur wird z.B. für die Speicherung etlicher Kopien auf anderen Servern kritisiert. Stichwort: Metadaten. Hier braucht es noch mehr Research, um herauszufinden wie und ob diese Anwendungen unseren Anforderungen entsprechen können.
Threema aus der Schweiz bietet prinzipiell ein feines Datenschutzkonzept und ist seit kurzem auch open-source. Der Dienst muss einmalig gekauft werden (good old times) und hat den Funktionsumfang moderner Konkurrenzapps. Threema benötigt allerdings im Gegensatz zu anderen Diensten keine Telefonnummer oder andere Identifikationsmerkmale.
Wire ist auch ein Unternehmen aus der Schweiz und ermöglicht ebenso die E2EE-Kommunikation ohne die Telefonnummer als Identifier. Eine kostenlose Registrierung in der App für Android und iOS ist möglich. Wire ist geeignet, wenn ihr einen stabilen Messenger braucht, der Videotelefonie mit Gruppen bis zu 5 Personen im Repertoire hat, ihr aber für Kommunikation nicht eure Telefonnummer hergeben wollt.
Wir haben nun über Plattformen gesprochen, die zum Austausch dienen können. Jetzt soll es ein bisschen darum gehen wie wir das, was wir versenden wollen verschlüsseln können und den Zugang zu den Dateien erschweren, wenn der Channel über den wir teilen vielleicht doch kompromittiert ist oder die Datei(en) in die falschen Hände geraten könnte(n).
Wir könnten natürlich alles wild verschlüsseln, unser Betriebssystem doppelt und dreifach absichern, versteckte Orte auf der Festplatte anlegen oder Hardware Tokens besorgen. In der Praxis gibt es da umfangreiche Möglichkeiten, die hier aber etwas zu weit führen würden (und so kompliziert auch gar nicht sein müssen). Wir konzentrieren uns zunächst einmal darauf wie wir einzelne Dateien verschlüsseln können und die Festplatte gegen unauthorisierte Zugriffe schützen.
Verschlüsseln per PGP: Basic und sehr sicher: dieses bissl umständliche PGP.
Ein paar kleine Tutorials zum lokalen verschlüsseln mit PGP: Windows & Linux & iOS. Damit verschlüsselt ihr ± manuell die Dateien und leitet sie dann weiter. Es gibt hier einige Methoden, z.B. direkt über ein Eingabe-Terminal (Sieht stark nach hacken wie im Film aus) oder aber auch über graphische Benutzeroberflächen, in das die Schlüssel direkt importiert werden können, was Handhabung und Übersicht definitiv erleichtert.
| Dateityp | How to (genauere Infos unter den genannten Links) |
|---|---|
| So gut wie jeder PDF-Viewer bietet die Möglichkeit an, das Dokument mit einem Passwort zu schützen. Leider sind die Sicherheitssignaturen des Formats kaputt by Design. Passwörter in den PDFs direkt verhindern zwar zunächst den Zugriff von Lai*inn*en auf das Dokument, wer es ernst meint kann allerdings die Dateien frei modifizieren und sich z.B. Inhalte via Internet anzeigen lassen [36]. | |
| Text-dokumente | Verschlüsselung über interne Fuktion in Word. -> alle anderen Texttypen lassen sich auch über die nachfolgende Methode verschlüsseln. |
| Videos/ Bilder/ Verzeichnisse/ Textdok. | Ordner mit Dateien (aller möglichen Art) lassen sich unter Windows über Zip-Dateien verschlüsseln. Im MacOS gelingt das ebenso easy über .dmg-Dateien. Eine kurze Anleitung dazu findet ihr hier. Eine umfangreiche Liste an Möglichkeiten unter Ubuntu (und anderen Distributionen) findet sich in diesem Forum. |
| Partitionen, USB-Sticks, Imagedateien | dm-crypt (wiki-link, Linux), Veracrypt (Linux, Mac, Windows) -> beide Programme ermöglichen das Anlegen eines verschlüsselten Containers, der auf der Festplatte immer gleich viel Platz einnimmt. Verschlossen kommt niemensch an die Daten ran. Es ist auch möglich einen "doppelten Boden" einzubauen und so einen zweiten versteckten Container anzulegen. Wie sinnvoll das ist hängt davon ab, welche Daten vor wem geschützt werden sollen; FileVault (verschlüsselt die Festplatte auf Mac, siehe unten) |
Boxcryptor ist ein Programm, das es ermöglicht Dateien E2E verschlüsselt in die jeweilige Cloud hochzuladen. Wenn ihr also einen Cloud-Dienst verwendet, dem ihr eure Bilder, Videos, Dokumente, etc. anvertraut, dort die Dateien aber unverschlüsselt hochgeladen werden, kann dieses Programm dafür sorgen, dass der Zugriff tatsächlich nur mit euerer Passphrase möglich ist. Ein Tutorial für Windows, MacOS, iOS und Android findet ihr hier. In der Basis-Version (alles andere kostet leider) habt ihr die Möglichkeit mit einem Cloud-Dienst und zwei Geräten, auf denen synchronisiert wird, zu arbeiten. Eine kostenlose Option für fast alle Cloud-Konten ist Cryptomator.
Wie immer ist es natürlich besser Dinge lokal auf euerem Rechner zu verschlüsseln und dann direkt über einen sicheren Kanal weiterzuleiten (USB, offline).
Ermöglicht der Kanal über den ihr kommuniziert allerdings nur eine gewisse Dateigröße und ihr seid auf eine Cloud (Systemli & Cryptpad #für Dateien unter 1 GB) oder ein Portal zum Teilen der Daten angewiesen, dann könnt ihr kostenlose, quelloffene und sehr einfach gestaltete Optionen wie NowTransfer, Disroot und Anoxinon nutzen. Hierüber lassen sich Dateien bis zu 2 GB teilen. Die Dateien werden über eine Link geteilt und könne darüber heruntergeladen werden. Ihr könnt ein Passwort und Verfallszeiten des Links festlegen.
Für Dateien bis 5 GB gibt es Tresorit. Ihr müsst dazu allerdings eine E-Mail Adresse angeben. Dateien können auch hier mit einem Passwort gesichert werden. In der Basisversion könnt ihr euch noch über Zugriffe per Mail informieren lassen. Der Link läuft nach 7 Tagen oder 10 Zugriffen automatisch ab.
Teilt Passwort und Link immer über unterschiedliche Kanäle (das gilt allgemein!).
... oder sogar direkt in der Cloud arbeiten!
Bei Festplatten haben wir folgendes Problem: Bei moderneren SSDs ist es fast unmöglich eine Datei restlos zu löschen, Dateien werden gestückelt in verschiedenen Parts der Festplatte gespeichert und es ist ohne riesigen Aufwand möglich herauszufinden wo sie im Endeffekt verstreut sind, was restloses Löschen über die gewöhnlichen Wege erheblich erschwert.
Das Löschen von Dateien unter Windows über den Papierkorb ist dabei auch irreführend, denn die Dateien werden nicht tatsächlich gelöscht, sondern nur prinzipiell zum Überschreiben freigegeben (das kann per Zufall passieren, die Wahrscheinlichkeit das das passiert ist aber erstmal relativ gering) und können daher mit hoher Wahrscheinlichkeit rekonstruiert werden. Die einzige Möglichkeit Dateien von einer SSD weitestgehend unzugänglich zu machen, ist die ganze Festplatte zu "wipen" (und dabei mindestens 7x zu überschreiben – das kann schon mal mehrere Tage dauern) oder die Platte wirklich physisch zu zerstören (richtig gemacht, ist das in der Realität allerdings auch nicht einfach). Bei alten HDDs, die mit der Scheibe drin, ist das Ganze tendenziell einfacher und "wipen" ist mit einfachen Tools möglich ( Windows & Linux & Mac). Wenn ihr also noch eine alte Festplatte verbaut habt, habt ihr in diesem Fall möglicherweise einen 'Vorteil'.
Da das allerdings seit einigen Jahren nicht mehr dem Standard entspricht, müssen wir uns Alternativen zum Arbeiten mit kritischen Daten überlegen. Die naheliegendste Möglichkeit ist ohne Digitalisierung zu arbeiten. Da das allerdings nicht immer möglich ist, wäre für das gemeinschaftliche Arbeiten an Themen ohne strafrechtliche Konsequenzen naheliegend direkt in der (verschlüsselten) Cloud zu arbeiten.
Da wir uns ja schon mit Online-Sicherheit auseinandergesetzt haben und für sensibles Arbeiten auf das im nächsten Kapitel erwähnte Tails zurückgreifen, dürfte das in den meisten Fällen das Mittel der Wahl sein. Bei strafrechtlich relevanten Sachen --> unbedingt offline bleiben, nichts aufschreiben und eine gewisse Sicherheitskultur beachten!
Klar, Google Drive/ Docs/ etc. ist super praktisch und es wirkt oft als wäre das die einzige Möglichkeit gemeinsam an Dokumenten, Präsentationen und Tabellen zu arbeiten. Die Bandbreite an Alternativen, vorallem an sicheren (!), ist aber sehr groß.
Viele der Open Source Online-Clouds und Pads basieren auf EtherPad und bauen einen größeren Sicherheitsapparat um diese Basis. Im P rinzip ist die Funktion genau wie bei Google Drive. Beliebt sind z.B. cryptpad.fr, limonade.cc, pads.c3w.at. Teilweise gibt es Probleme mit der Servergeschwindigkeit bei einigen Hosts, daher am besten vorher ausprobieren! Die Funktionen sind bei allen EtherPad basierten Methoden sehr ähnlich. Ihr könnt hier so vorgehen, dass alle beteiligten Personen einen eigenen Account anlegen, oder aber, dass ihr gemeinsam einen Account nutzt, was anonymer ist.
Eine offline-Variante für Linux stellt EncryptPad dar, ein offline- Texteditor mit eingebauter Verschlüsselung für eure Dokumente. Es benutzt eine symmetrische Verschlüsselung basierend auf dem im Mail- Teil erwähnten PGP, kombiniert mit einem Passwort. Vorsicht: Wenn ihr das gewählte Passwort vergesst oder den Schlüssel verliert habt ihr keinen Zugriff mehr, es gibt keine Möglichkeit drum herum zu arbeiten! Mit einer sicheren Schlüssel- und Passwort- Weitergabe könnt ihr die geupdateten Versionen immer über einen Cryptdrive oder ähnlichem teilen und so gemeinsam, aber zeitversetzt, daran arbeiten.
Klare Empfehlung und unbedingtes Muss! Es ist nicht nur extrem schwer bis quasi unmöglich für Behörden eine verschlüsselte Festplatte zu entschlüsseln, sondern auch extrem teuer. Bullen probierens manchmal trotzdem, klauen eure Festplatten oder Laptops und schicken sie nach Lyon.
Damit Cops dort damit auch keine Freude haben gibt es viele kostenlose und kostenpflichtige Programme für alle Plattformen (inklusive Smartphone), die wir nutzen können. Hier werden erstmal nur die Standard-Lösungen genannt. Für Links zu den Anleitungen schaut in die Fußnoten. Standardmäßig vorinstalliert gibt es in Windows den BitLocker zum Verschlüsseln der gesamten Festplatte, FileVault bei MacOS und verschiedenste Tools bei den jeweiligen Linux-Distributionen (z.B. für Ubuntu ist es direkt bei der Installation möglich, aber auch im Terminal möglich, die Anleitung ist etwas kompliziert und erfordert ein wenig Reinfuchsen. Andere Billo-Anleitung).
Bei Tails wird der erwähnte Persistent Storage beim Erstellen automatisch verschlüsselt!
Metadaten sind Informationen, die sich in Dateien (meist auf den ersten Blick unsichtbar) verstecken können. Das können Infos über die Kamera, mit der aufgenommen worden ist, oder das Gerät im Allgemeinen sein, aber auch z.B. sehr genaue Standortangaben.
Systemli bietet ein Web-Interface zur Bereiningung von verräterischen Informationen.
Grundsätzlich ist es besser vertrauliches Material direkt auf dem eigenen Computer zu bereinigen und keiner externen Plattform zu vertrauen. Das bei Systemli verwendete Programm lässt sich mit etwas Technikgeschick als Terminal-Tool lokal auf dem PC installieren. Hier ist dazu die Dokumentation.
Unter Linux gibt es dazu noch das gut integrierte
mat2, welches in euren File-Browser integriert ist.
Es ist standardmäßig bei Tails vorinstalliert und kann bei z.B. Ubuntu
einfach im Terminal mit sudo apt install mat2 installiert
werden. Mit diesem Tool könnt ihr im Ordner per Rechtsklick die
Metadaten bereinigen, wodurch eine "saubere" Kopie der Datei erstellt
wird (Denkt daran die Original-Datei zu löschen bzw. darauf zu achten
die bereinigte Variante weiterzuleiten).
Eine weitere Alternative dazu ist Exiv2.
Für Android gibt es außerdem die App ObscuraCam. Mit Hilfe dieser App können Gesichter unkenntlich gemacht werden und gleichzeitig Bilder um Metadaten bereinigt werden.
Für iOS gibt es zum Cleanen u.a. die App "ViewExif".
Windows ist nicht nur auf vielen Ebenen extrem anstrengend, sondern auch extrem anfällig für Attacken. Das hat mehrere Gründe, einer davon ist natürlich, dass es von einer riesigen Menge an Menschen benutzt wird und daher ein sinnvolles Ziel darstellt. Es ist das Standard-Betriebssystem für die meisten neu gekauften Computer und wird daher viel von wenig versierten Nutzer*innen genutzt, wodurch Attacken schnell gelingen können. Dadurch und durch die in Linux-Distributionen [37] integrierten Sicherheitskonzepte, braucht ihr keine schlecht-funktionierenden Anti-Viren-Programme, sondern seid von Beginn an sicherer.
Hauptalternative sind die vielen Linux-Distributionen, ausgelegt auf ebenso viele verschiedene Nutzungsarten und -Geschmäcker.
Die verschiedenen Linux-Distributionen haben eine Menge Vorteile, aber auch einen entscheidenden Nachteil: Es lassen sich keine Windows-Programme abspielen (außer man nutzt Umwege, die wenig stabil sind). Alternativen für diese Programme gibt es aber zuhauf. Großer Vorteil in puncto Sicherheit ist (bzw. kann sein), dass die Systeme open source sind und von einer großen Community geschrieben werden. Kapitalinteressen gibt es hier idR keine und die meisten Distributionen fallen unter eine "Schenk-Ökonomie".
Ihr werdet, sofern ihr nicht schon einiges an Erfahrungen mitbringt, zu Beginn öfters denken "Wow schaut der Mist kompliziert aus", aber ebenso schnell merken, dass ihr zu jedem Problem extrem schnell Hilfe findet. Die Communities sind sehr groß, sehr versiert und sehr freundlich und zuvorkommend. Nichts was euch begegnet, ist nicht schon wem anderes begegnet ;)
Ein weiterer sehr großer Pluspunkt an der bunten Linux-Welt ist der niedrige Ressourcen-Verbrauch, das heißt ihr könnt alte PCs, die unter Windows nicht laufen, mit leichten Linux-Distributionen wieder zum Laufen gebrachten. Selbst über 10 Jahre alte Computer starten in unter einer Minute statt der unter Windows schnell erreichten 15!
Linux Mint und Ubuntu sind die populärsten Linux-Distributionen und auf Benutzer*innenfreundlichkeit ausgelegt. Beide haben ein freundliches Design und viele Möglichkeiten zur Anpassung durch verschiedene Oberflächen, „Tweaks“ und Widgets. Es sind vermutlich die besten Distributionen für den Einstieg und erlaubt trotzdem einiges an rumexperimentieren und personalisieren. Es gibt viele Wege die Plattformen sicherer zu gestalten, wobei die Sicherheit von Haus aus schon relativ hoch ist: Fast jeden Tag kommen Sicherheitsupdates heraus, an der die riesige Community schreibt.
Ein kleiner Auszug von der Ubuntu-Website: "use your common sense. The biggest security threat is generally found between keyboard and chair."
Wir empfehlen eher Linux Mint, da die Organisation hinter Ubuntu, Cannonical, wegen ihrer Philosophie im Umgang mit unter anderem Code und Kooperationen in der Kritik stand.[38]
Von Tails habt ihr bestimmt schonmal gehört. Es wird nicht direkt auf dem PC installiert, sondern läuft live über einen USB-Stick. Das hat den Vorteil, dass nichts am PC gespeichert wird und ihr ihn schnell rausziehen und wegrennen könnt. TailsOS ist auf Sicherheit und Privatsphäre ausgelegt, verbindet zum Beispiel direkt über das Onion-Netzwerk, das auch von Tor genutzt wird. Ihr könnt Dinge dauerhaft auf dem Stick speichern, dazu wird ein verschlüsselter " persistent storage" angelegt (unter "configuring persistant storage" gibt es eine detaillierte Anleitung).
Dieses Betriebssystem ist perfekt wenn ihr Illegales tun wollt, on the run in nem Internet-Cafe oder auf fremden Computern unterwegs seid oder einfach keine Spuren hinterlassen wollt. Außerdem easy to do und zum Rumexperimentieren, wenn ihr euren PC nicht neu aufsetzen wollt: ein 8GB USB-Stick reicht. Standardmäßig sind neben dem Tor Browser auch noch Thunderbird, KeePassXC (Passwort Manager), Metadaten-Bereiniger (Kapitel 6), LibreOffice (open source Alternative zu Microsoft Office) und Bild-, Ton- und Grafikbearbeitungsprogramme inkludiert. Quasi alles was ihr für einen mobilen Workspace braucht!
Aber Achtung: auch Tails hat seine Grenzen und ist angreifbar [39].
Kleine Anleitung für den Start.
Wenn ihr euch in die Welt mit dem Pinguin etwas reinarbeitet, werdet ihr schnell feststellen, wie viele verschiedene Distributionen, Oberflächen und Möglichkeiten es gibt. Es kann auch durchaus sehr viel Spaß machen sich durchzuwühlen und verschiedenste Richtungen auszuprobieren. Es braucht ein wenig Übung, Durchhaltevermögen und Geduld, aber hilft langfristig durchaus beim Verständnis!
MX Linux und antiX sind "proudly antifascist" und auf Sicherheit und Privatsphäre ausgelegt. Nicht im selben Maße wie Tails, aber sie kommen doch mit einer Menge wertvoller Tools und schaffen es trotzdem alltaugstauglich zu bleiben. Archlinux ist eine Linux- Distribution für den normalen Gebrauch, sofern ihr euch auskennt. Super personalisierbar und wenig Zeug drauf, über das Angriffe gelingen könnten. Ihr habt komplett in der Hand wie das Betriebssystem aussieht.
Sobald das Plenum beginnt, werden alle Handys rausgelegt und in Gegenwart eines Handys versucht nichts von Bedeutung laut auszusprechen. Doch... sind wir immer so vorsichtig? Das Smartphone haben wir fast immer dabei und die meiste Zeit geben wir freiwillig Unmengen von Daten preis, warum? Tech-Konzerne, Krankenkassen und die Behörden nutzen diese Informationen und horchen uns im Alltag aus. Dabei können wir unsere Privatsphäre recht einfach schützen und auch hier wieder etwas Kontrolle zurückerlangen. Nach dem Durcharbeiten dieses Guides wissen wir noch nicht wie wir uns effektiv vor Nachrichtendiensten und der operativen Bespitzelung schützen können, aber wir können zumindest dafür sorgen, dass sie im Fall der Fälle ziemlich wenig gegen uns in der Hand haben.
Die meisten von „uns“ benutzen Android-Smartphones. Software geschrieben von Google und damit durchsetzt von Wegen eure Daten zu sammeln. Dazu Bindung an eine Gmail-Adresse und meist auch mit Chrome als Standard-Browser. Das macht das Telefon schon ab Vertrieb zur Datenkralle. Ob über GPS-Tracker, angezapftes Mikrofon, oder Tracking eures Online-Verhaltens. Doch hier gibt es super Alternativen, mit denen ihr u.a. obendrein noch ausbleibende Security Updates (die meisten Android-Modelle werden nur wenige Jahre mit Updates versorgt) reaktivieren könnt. Auch der Akku läuft länger und Ruckler können beseitigt werden.
Dazu wird das "normale" Android vom Handy runtergeworfen und ein "Custom OS" (OS = Operation System = Betriebssystem) draufgespielt. Das populärste ist LineageOS, es gibt unter anderem noch die /e/-foundation und GrapheneOS [40] (nur für Google Pixel-Geräte). Nicht jedes Smartphone wird von diesen Projekten unterstützt, die Listen findet ihr auf den jeweiligen Websites.
Ihr könnt euch aussuchen ob ihr trotzdem Google Play oder Google Services dabeihaben wollt, damit ist zwar das Installieren von Apps einfacher, aber der urprüngliche Beweggrund ein bisschen verraten. Apps können auch von den Websites der jeweiligen App als .apk-Datei heruntergeladen und manuell installiert werden. Ein paar Apps werden nicht funktionieren, alle für uns wichtigen schon. Es gibt einige Sicherheits-Features und viele Möglichkeiten euer Smartphone euren Wünschen nach einzustellen. Und das alles ohne Google, juhu!
Für Apple-Produkte ist die Ausgangsituation dieselbe, eine Umstellung des Betriebssystems schaut aber ein wenig komplizierter aus. Es gibt Wege auf dem Iphone Android-basierte Betriebssysteme zu installieren, ich schätze das Risiko das Handy zu zerschießen und unbenutzbar zu machen aber als relativ hoch ein. Ein fertiges Projekt ist nicht zu finden, Project Sandcastle ist noch in der Beta-Phase.
Kauft euch gebrauchte Smartphones über Willhaben und co. von Menschen, zu denen ihr wenig Verbindung habt und spielt diese Android- Alternativen drauf. Da rein packt ihr eine neue, unregistrierte SIM-Karte (siehe nächster Absatz). Wichtig ist, dass ihr eure normalen Alltags-SIM nicht in diese Geräte einsetzt, da Gerätenummer (IMEI) [41] und Telefonnummer von den Anbietern gespeichert werden und der Staat Zugriff auf die Daten hat.
Günstig wären die älteren Samsung Galaxy-Modelle, das S4 gibt es gebraucht zum Beispiel schon ab 30€ und es kann alles was gebraucht wird.
Die Polizei kann jederzeit tracken in welchen Sendemasten- Schnittpunkten ihr euch gerade befindet, was genauer ist, als mensch es zuerst erwarten würde: Alleine auf dem unteren Teil der Mariahilfer Straße in Wien befinden sich 14 Sendemasten direkt an der Straße auf den Hausdächern! Außerdem ist Teil der Riot-Control die mobile Überwachung des Funkverkehrs, womit der Staat weiß, dass ihr auf Demo X wart.
Es gibt wenig was getan werden kann, dem zu entkommen, vorallem, da eure Nummern in der Regel mit euren Namen verknüpft sind. Abhören können die Behörden wie gewohnt alles, eure Signal-Chats mitlesen aber (noch) nicht.
Eine Lösung? SIM-Karten aus den Niederlanden oder Tschechien. In beiden Ländern sind die SIM-Karten ohne Registrierung nutzbar und durch die neue Roaming-Regeln sind diese auch europaweit benutzbar. Die besseren Tarife haben niederländische Anbieter. Ihr könnt sie frei in den Ländern mit Bargeld kaufen und direkt welche für eure Freund*innen und Genoss*innen mitnehmen. Denkt an Ladekarten! Aber: Aktivieren müsst ihr die Karten meist im jeweiligen Landesnetz.
Auch diese Methode hat seine Grenzen: Die Geräte-ID wird immer mitgesendet. Es gibt Apps zum randomisieren, aber die können scheinbar gut geknackt werden. Trotzdem: Packt die neuen unregistrierten SIM-Karten in eure Demo-Handys und seid, falls es taktisch sinnvoll ist, erreichbar und besser vernetzt auf Demos, Aktionen und Riots!
Klar sind Facebook App und Messenger, WhatsApp und Co. praktisch und haben Vorteile. Nicht aber für die Privatsphäre. Apps fragen zwar immer nach Befugnissen, aber wann dann wirklich auf Mikrofon, Kamera und Kontakte zugegriffen werden kann, ist unklar. Wir alle haben schon mitbekommen, wie Menschen über etwas nur reden und in den nächsten Stunden die Werbung auf dieses Thema gerichtet war. Ein Freund, der weit weg von Meer, Boots-Community und Co. wohnt, hat mal über Träumereien bezüglich eines kleinen Kajütboot geredet, kurz drauf bekam er Werbung für nahegelegene Bootsanlegestellen in der eigenen Stadt. Dabei muss manchmal noch nicht einmal zugehört werden, die Masse an Metadaten die über euch oder eure Bezugspersonen zur Verfügung stehen ermöglicht es jedes erkennbare Muster des Verhaltens genaustens zu tracken und daraus ein passgenaues Profil von eurem Leben zu erstellen.
Es macht daher Sinn zu reflektieren, was ihr auf eurem Smartphone haben wollt und was ihr wirklich braucht. Hier ein paar Anregungen:
Auch zu Zoom, Skype und Teams gibt es quelloffene, sichere Ersatzoptionen, die den gleichen Funktionsumfang wie die großen Datenkraken haben, dabei aber ohne deren bedrohlichen Ballast und Installation einer App auskommen. Für Videotelefonie im Browser mit mehreren Teilnehmenden eignet sich der Service von Jitsi (Jitsi Meet oder die Systemli Instanz nutzen), Big Blue Button lässt sich über Senfcall nutzen oder ihr greift bei kleineren, privaten Gruppen auf Signal/Wire zurück. Eine weitere vielversprechende Alternative ist Jami, ein FOSS-Projekt, dass über P2P, also ohne zwischengeschaltete Server arbeitet.
Das ewig leidige Thema YouTube. Zum abonnieren von Kanälen und zum Schauen von Ü18 Videos braucht ihr einen Google Account, inzwischen sogar mit eurer Telefonnummer verknüpft, oder sogar mit Perso-Foto. Einfach zu umgehen: FreeTube! Client zum runterladen, damit könnt ihr Kanäle abonnieren, Videos schauen und direkt runterladen und Co.. Auf dem Smartphone könnt ihr HoloPlay nutzen oder NewPipe über den F-Droid Store beziehen.
Für Apps, die ihr unbedingt braucht und nicht im F-Droid Store findet könnt ihr den Aurora-Store verwenden und ohne Google-Anbindung Anwendungen herunterladen.
Eine freie und kostenlose Twitter-Alternative fürs Handy ist wie gesagt Fritter, im Browser am PC gibt’s Nitter.
Vorweg: die einzig sichere und anonyme Bezahlmethode bleibt Bargeld.
Um über die Gefahren aufzuklären, die z.B. vermeintlich sichere Cryptowährungen bereithalten und mit Mythen aufzuräumen, die sich hartnäckig halten, wollen wir das Thema ganz kurz anschneiden.
Bitcoin (eine Cryptowährung entwickelt 2009 vom Pseudonym Satoshi Nakamoto) ist kein anonymes Bezahlmittel! Jede Transaktion und jeder Kontostand ist im Bitcoin-Netzwerk öffentlich einsehbar und kann über die Analyse von Transaktionsmustern nachverfolgt werden. Letztlich könnt ihr somit über ein paar Ecken ziemlich genau identifiziert werden. Alle Methoden, die versuchen diesen ‚Flaw‘ zu adressieren gaukeln euch Sicherheit vor und machen nur neue Probleme auf (z.B. sog. Coin Mixer [43]). Alle anderen Cryptowährungen basieren meist auf dem Bitcoin-Prinzip (z.B. Ethereum) und teilen daher diese Privatssphäre-Bedenken.
Eine (vllt. die einzige) Cryptowährung mit überzeugendem Privacy-Design ist Monero (XMR). Transaktionen werden hier mit verschiedenen Methoden anonymisiert, Sender*innen/ Empfänger*innen und ausgetauschte Geldmenge bleiben geheim. Weitere Informationen findet ihr auf der Website des Projekts. Dort findet ihr auch eine Anleitung zur Installation eines Geldbörserls (Wallet), das ihr zum Austausch von Monero braucht.
Allerdings: Auch Monero müsst ihr irgendwo herbekommen und hier wirds bissl kompliziert. Ihr seid angewiesen auf kommerzielle Handelsbörsen (Cryptocurrency Exchanges wie Coinbase, Binance, Kraken, etc.) oder P2P-Austausch-Plattformen wie localmonero.co [44] Wie genau das funktioniert sprengt den Rahmen, soll aber auch nicht weiter ausgeführt werden, weil der Anwendungsfall unseres Erachtens nach relativ unwahrscheinlich und unnötig ist. Möglicherweise dient es aber als Startpunkt für weitere Recherche.
Hier findet ihr eine Reihe nützlicher Ressourcen, die Anknüpfungspunkte für weitere Informationssuche sein können oder einfach den Interessendurst stillen:
Von Copyright halten wir nichts. Nutzt die gesammelten Infos dieser Seite! Kopiert, druckt, kritisiert, verteilt und erweitert! Die Unterdrücker*innen kennen sich aus, aber sie kriegen uns nicht. Denn wir lassen uns nicht vereinzeln, wir sind überall in Kompliz*innenschaft und unsere Beziehungen sind so viel mehr als eine Welt binärer Codes.
Wir hoffen dieser Guide hilft euch, euch sicherer und komfortabler in der digitalen, als auch in der realen Welt bewegen zu können.
Libertäre Grüße, Zwei Anarchx aus Wien.
[1] https://netzpolitik.org/staatliche-ueberwachung/
[2] https://www.sproutdistro.com/catalog/zines/security/
[3] Ein Cookie ist nichts anderes als eine Textinformation, die im Browser für eine besuchte Website gespeichert werden kann. Das Cookie soll dazu dienen, euch in der Masse der Surfer*innen eindeutig zu identifizieren, z.B. damit der der Warenkorb im Online-Shop beim Seitenwechsel erhalten bleibt. Cookies werden leicht als versteckter 'Ballast' mitgeschleppt und ein Auslesen der Cookies erzählt leicht eine Geschichte darüber, was ihr so alles im Internet gemacht habt. Der Begriff Cookie wird im Datenschutz auch als Synonym für Datenentnahme, Datenspeicherung, Datenweitergabe wie auch Datenmissbrauch verwendet.
[4] Tracking oder Web Analytics ist die Sammlung von Daten und deren Auswertung bzgl. des Verhaltens von Website-Besucher*innen. Spezifische Tracking-Tools ermöglichen es zu untersuchen, woher die User kommen, welche Bereiche auf einer Internetseite aufgesucht werden und wie oft oder wie lange welche Inhalte angesehen werden. Der Einsatz solcher Werkzeuge ist aus Datenschutzgründen umstritten.
[5] Ein marktwirtschaftliches, kapitalistisches System, das mit technischen Mitteln persönliche Daten/ Informationen von Menschen sammelt, Verhaltensmuster analysiert und daraus Gewinn erwirtschaftet. Das System kann schnell & einfach für andere (repressive) Zwecke eingesetzt werden. Es gibt eine gute Doku zum Thema: "Shoshana Zuboff on surveillance capitalism | VPRO Documentary"
[6] https://www.kuketz-blog.de/firefox-aboutconfig-user-js-firefox-kompendium-teil10/
[7] https://www.kuketz-blog.de/firefox-ein-browser-fuer-datenschutzbewusste-firefox-kompendium-teil1/
[8] bezeichnet ein abgeschlossenes Netzwerk und beinhaltet abgeschlossene Webseiten, die nicht in normalen Suchmaschinen indexiert sind und über den Tor Browser oder andere Browser, die Tor als lokalen Proxy nutzen, zu finden sind.
[9] Das engl. Transmission Control Protocol (TCP, deutsch Übertragungssteuerungs-protokoll) ist ein Netzwerkprotokoll, das definiert, auf welche Art und Weise Daten zwischen Netzwerkkomponenten ausgetauscht werden sollen. Nahezu sämtliche aktuelle Betriebssysteme moderner Computer beherrschen TCP und nutzen es für den Datenaustausch mit anderen Rechnern.
[10] Internet Relay Chat, kurz IRC, bezeichnet ein textbasiertes Chat-System.
[11] Secure Shell oder SSH bezeichnet ein kryptographisches Netzwerkprotokoll für den sicheren Betrieb von Netzwerkdiensten über ungesicherte Netzwerke.
[12] Peer-to-Peer (kurz meist P2P genannt, von engl. peer „Gleichgestellte*r“, „Ebenbürtige*r“) ist eine Bezeichnung für eine Kommunikation unter Gleichen, hier bezogen auf ein Rechnernetz. In einem reinen Peer-to-Peer-Netz sind alle Computer gleichberechtigt und können sowohl Dienste in Anspruch nehmen, als auch zur Verfügung stellen.
[13] Onion-Routing (engl. onion „Zwiebel“) ist eine Technik zum Erreichen von Anonymität im Internet. Hierbei werden die Webinhalte über ständig wechselnde Routen mehrerer Knoten geleitet. Dadurch bleibt die wahre Identität der Person, die die Daten angefordert hat, für den Webserver auf der anderen Seite anonym.
[14] wie das genau funktioniert erfahrt ihr sehr detailliert in diesem Video.
[15] Das Deep Web bezeichnet einen Teil des World Wide Webs, der nicht über Suchmaschinen auffindbar und nicht für alle frei zugänglich ist. Das Deep Web besteht zu großen Teilen aus themenspezifischen Datenbanken (Fachdatenbanken z.B. Banknetzwerke oder Cloudspeicher). 'Das' Darknet bezeichnet abgeschlossene Netzwerke, d.h. die Verbindung muss manuell hergestellt werden und erfolgt über das Tor-Netzwerk.
[16] Ein erster Start für Recherche von vertrauenswürdigen Seiten: sucht nach dark.fail oder darknetlive
[17] Das Clearnet ist das öffentlich erreichbares Internet, oder aber auch: Oberflächen-Internet. Umfasst die Websites, die ihr über gängige Suchmaschinen findet.
[18] Add-Ons sind Erweiterungen für den Browser, also kleine Programme, die den Browser um nützliche Funktionen ergänzen können.
[19] Skripte sind Textdokumente die eine Abfolge von Befehlen enthalten, die z.B. von eurem Browser ausgeführt werden sollen. Sie dienen meist zur Automatisierung von Prozessen.
[20] Startpage and Privacy One Group
[29] Wer tiefer in die Materie eintauchen mag, sei auf SearX-Instanzen verwiesen.
[22] Als Open Source (offene Quelle) wird Software bezeichnet, deren Quelltext öffentlich und von Dritten eingesehen, geändert und genutzt werden kann. Open-Source-Software kann meistens kostenlos genutzt werden. Software kann sowohl von Einzelpersonen aus altruistischen Motiven zu Open-Source-Software gemacht werden wie auch von Organisationen oder Unternehmen, um Entwicklungskosten zu teilen oder Marktanteile zu gewinnen.
[23] Verschlüsselungsprogramm, das auf einem sog. "Public Key"- Verfahren basiert. In dem Verfahren gibt es für jede Person zwei "Schlüssel", die eindeutig miteinander verbunden sind. Einmal den Public Key und einmal den Private Key. Der erste wird zum Verschlüsseln verwendet und kann öffentlich sein, der letztere wird ausschließlich geheim lokal gespeichert und zum Entschlüsseln der Nachricht verwendet.
[24] Bei den meisten Anbieterinnen ist es möglich nebenbei noch "Fake-" E-Mail Adressen zu verwenden. Mails an Alias-Adressen werden dann an die Hauptadresse weitergeleitet. Siehe z.B. hier: https://riseup.net/aliases
[25] Systemli Alias Mail Feature
[26] Die IP-Adresse ist eine Zahl, die eurem Gerät in einem Netzwerk (vom Router) zugewiesen wird. Eine IP(v4)-Adresse kann z.B. so aussehen: 192.168.0.100.
[27] Manchmal muss auch ein VPN verwendet werden, um z.B. staatliche Zensur zu umgehen.
[28] Liste der "14-eyes-Länder".
[30] Protokolle regeln/ vereinheitlichen die Kommunikation von Computern im Netz.
[31] Auch Signal bietet eine Proxy-Funktion an, die sehr einfach umsetzbar ist. Eine Anleitung findet ihr auf der Signal Support-Seite.
[32] Mehr Infos zum Projekt auf snowflake.torproject.org.
[33] Abgesehen davon wurde im Juni 2022 bekannt, dass Telegram auf Anfrage des BKAs Daten an die deutsche Behörde weitergegeben hat: Quelle.
[34] Unter Ende-zu-Ende-Verschlüsselung (engl. „end-to-end encryption“, „E2EE“) versteht man die Verschlüsselung von Daten über alle Übertragungsstationen hinweg. Nur die Kommunikationspartner*innen können die Nachricht entschlüsseln. Theoretisch verhindert E2EE das Abhören der Nachrichten. Es gibt asymmetrische und symmetrische Verschlüsselung. Bei der sym. Verschlüsselung wird derselbe Schlüssel zum Verschlüssen auch zum Entschlüssen verwendet. Bei der neueren asym. Verschüsselung gibt es zum Ver-/Entschlüsseln zwei unterschiedliche Schlüssel (s. PGP).
[35] Warum die Chatkontrolle Grundrechte bedroht - Netzpolitik.org
[36] https://www.pdf-insecurity.org/
[37] Als Linux oder GNU/Linux bezeichnet man in der Regel freie Betriebssysteme, die auf dem Linux-Kernel und wesentlich auf GNU-Software basieren. Die weite, auch kommerzielle Verbreitung wurde ab 1992 durch die Lizenzierung des Linux-Kernels unter der freien Lizenz GPL ermöglicht. Einer der Initiatoren von Linux war der finnische Programmierer Linus Torvalds. An der (Weiter-)Entwicklung sind Unternehmen, Non-Profit-Organisationen und viele Freiwillige beteiligt. Beim Gebrauch auf Computern kommen meist sogenannte Linux-Distributionen zum Einsatz. Eine Distribution fasst den Linux-Kernel mit verschiedener Software zu einem Betriebssystem zusammen, das für die Endnutzung geeignet ist. Linux wird vielfältig und umfassend eingesetzt, beispielsweise auf Arbeitsplatzrechnern, Servern, Mobiltelefonen, Routern, Notebooks, Multimedia-Endgeräten und Supercomputern.
[38] Siehe für mehr Infos hier
[39] Siehe: Tails-Broschüre
[40] Unseres Wissens nach ist die Kombination von GrapheneOS und PixelPhone die derzeit beste und sicherste Hardware-Software Option. Wenn ihr euch ein neues Handy zulegen müsst und ihr das nötige Kleingeld habt, lohnt der Kauf dieses Smartphones. Für nähere Infos schaut bei resist.berlin vorbei (s. Linkliste).
[41] "International Mobile Equipment Identity", eine eindeutige 15-stellige Seriennummer, anhand derer jedes mobile Endgerät weltweit eindeutig identifiziert werden kann.
[42] Die Zwei-Faktor-Authentisierung (2FA), häufig auch als Zwei-Faktor-Authentifizierung bezeichnet, bezeichnet den Identitätsnachweis von Nutzer*innen mittels der Kombination zweier unterschiedlicher und insbesondere unabhängiger Komponenten (Faktoren). Typische Beispiele sind Bankkarte plus PIN beim Geldautomaten oder Fingerabdruck plus Zugangscode in Gebäuden.
[43] Coin Mixer geben eure Bitcoins in einen Pool mit anderen Bitcoins, mischen diesen und geben euch dann (im Idealfall) dieselbe Anzahl an Bitcoins, nun aber zufällig aus dem Pool, zurück.
[44] Sog. Mining, also das Herstellen von Crypto-Geld durch Rechenleistung/ Arbeit eures Computers und die Unterschiede, die es in den Verfahren gibt, lassen wir einmal außer Acht (ganz zu schweigen vom katastrophalen Ressourcenverbrauch!).
[45] Für mehr Infos hier zum Kuketz-Blog.
